Et konseptbevis for sÄrbarheten har blitt publisert. DirtyDecrypt, ogsÄ kjent som DirtyCBC, slik at en lokal, ikke-privilegert bruker kan fÄ rotrettigheter pÄ enkelte systemer LinuxProblemet ligger i koden. rxgk delsystemer RxRPC og er relatert til en sidebufferskriving pÄ grunn av en manglende kopierings-ved-skriving-sjekk i rxgk_decrypt_skb()-funksjonen. PoC-en ble publisert 18. mai 2026 av BleepingComputer; selve PoC-en er publisert i V12-lagrepositorier.
RxRPC er en kjernenettverksprotokoll. Linux over UDP, noe som gir pĂ„litelig transport for fjernoperasjoner. Kjernedokumentasjonen sier spesifikt at AFS â Andrew File System er et eksempel pĂ„ et program som bruker RxRPC, og selve protokollen stĂžtter forhandlinger om tilkoblingssikkerhet. Det er her RxGK, som brukes for sikkermodusen RxRPC/AFS, kommer inn i bildet.
I fÞlge V12-beskrivelsen er DirtyDecrypt en annen variant av klassen av sÄrbarheter CopyFail / Skittent fragment / FragnesiaDe dreier seg alle om en lignende idé: feil manipulering av kjerneminne, sidebuffer og buffere kan tillate at en uprivilegert lokal prosess pÄvirker data som burde vÊre uskrivbare. I tilfellet med DirtyDecrypt er dette en "rxgk pagecache-skriving" pÄ grunn av manglende COW-beskyttelse i rxgk_decrypt_skb().
V12-teamet hevder Ă„ ha oppdaget og rapportert problemet. 9 May 2026 Ă„r, men kjerneansvarlige svarte at det var en kopi av en allerede rettet feil. Forskerne publiserte deretter et konseptbevis, der de hevdet at rettelsen allerede fantes i hovedkjernen.
Situasjonen med CVE-er virker ikke helt enkel. BleepingComputer rapporterer at det ikke finnes noen separat offisiell CVE for navnet DirtyDecrypt pÄ publiseringstidspunktet, men analytiker Will Dormann lenker detaljene publisert av V12 til CVE-2026-31635, fikset i slutten av april. NVD beskriver CVE-2026-31635 som en feil i rxrpc: rxgk_verify_response()-funksjonen sjekket feilaktig lengden pÄ RESPONSE-autentiseringsfunksjonen, noe som kunne fÞre til at en altfor lang autentiseringsfunksjon ble sendt til rxgk_decrypt_skb() og fÞre til at koden feilet BUG_ON(len).
Det vil si at offentlig tilgjengelige publikasjoner lenker DirtyDecrypt til CVE-2026-31635, men den formelle CVE-beskrivelsen i NVD virker for Ăžyeblikket smalere og refererer primĂŠrt til en lengdesjekkfeil i rxrpc, snarere enn direkte til DirtyDecrypt/DirtyCBC-aliaset som en separat oppfĂžring. Derfor er det mer korrekt Ă„ skrive: DirtyDecrypt er sannsynligvis i samsvar med eller nĂŠrt relatert til CVE-2026-31635, i stedet for Ă„ hevde at det er det offisielle CVE-navnet.
En kjerne med dette alternativet aktivert er nÞdvendig for drift. CONFIG_RXGK, som inkluderer RxGK-stÞtte for AFS-klienten og nettverkstransport. Dette begrenser antallet berÞrte systemer betydelig: primÊrt gjelder det distribusjoner som raskt fÞlger oppstrÞmskjernen, inkludert Fedora, Arch Linux О openSUSE TumbleweedBleepingComputer understreker at den publiserte V12 PoC kun ble testet pÄ Fedora og hovedkjernen.
DirtyDecrypt dukket opp pÄ bakgrunn av en hel rekke lignende produkter Linux LPE-sÄrbarheter. Tidligere avslÞrt Kopieringsfeil i algif_aead, Skittent fragment i nettverkskomponenter, og deretter Fragnesia i XFRM ESP-i-TCP Microsoft beskrevet Dirty Frag som en lokal privilegieeskalering gjennom esp4-, esp6- og rxrpc-komponentene, slik at en angriper kan fÄ lokal tilgang og fÄ fotfeste i systemet.
Den praktiske faren ved slike feil er at de ofte utnyttes etter det fÞrste bruddet: for eksempel etter Ä ha kompromittert en SSH-konto, et webskall, en sÄrbar container eller en tjenestebruker med lav privilegium. Etter Ä ha fÄtt root-tilgang kan en angriper deaktivere sikkerhetskontroller, lese hemmeligheter, endre logger, distribuere persistens og bevege seg videre gjennom infrastrukturen.
Brukere av potensielt berÞrte rullerende utgivelser anbefales Ä installere de nyeste kjerneoppdateringene. For systemer der umiddelbare oppdateringer ikke er mulige, nevner publikasjonene midlertidige lÞsninger som Ä deaktivere ubrukte rxrpc-moduler og relaterte komponenter. Slike lÞsninger kan imidlertid Þdelegge AFS og noen IPsec/VPN-scenarier, sÄ de bÞr bare brukes etter at virkningen pÄ et bestemt system er bekreftet.
For de fleste skrivebords- og serverinstallasjoner er risikoen sannsynligvis lavere enn Copy Fail: DirtyDecrypt krever en spesifikk kjernekonfigurasjon og lokal kodeutfÞrelse. For Fedora er imidlertid Arch Linux, openSUSE Tumbleweed og andre systemer med raske kjerneoppdateringer, fortjener problemet oppmerksomhet: det er ikke lenger en teoretisk rapport, men en sÄrbarhet med et publisert konseptbevis og en klar vei til rettighetseskalering.
Kilde: linux.org.ru
